Il Cyber Resilience Act di prossima promulgazione integra il marchio CE con requisiti di sicurezza per tutti i prodotti con componenti digitali non coperti da norme verticali
Negli ultimi anni abbiamo visto l’attenzione alla cybersecurity aumentare enormemente. Alla base c’è prima di tutto la pervasività della digitalizzazione, che fa sì che ogni attività, ogni prodotto, ogni servizio, utilizzi almeno in parte componenti, prodotti o servizi digitali, esponendo però nel contempo le organizzazioni a conseguenze importanti in caso di attacco. Il fenomeno ha avuto recentemente un’ulteriore accelerazione, complici prima la pandemia con le sue esigenze di lavoro da remoto, e nello scorso anno lo sviluppo di tensioni internazionali come non se ne vedevano da decenni.
Questa attenzione ha portato anche all’emanazione di norme per settori o per contesti particolarmente rischiosi per l’Italia e l’Europa, come la Direttiva NIS, che proprio alla fine del 2022 è stata aggiornata con la Direttiva NIS2, o all’integrazione di requisiti di cybersecurity nelle norme relative a prodotti o servizi specifici, come il Regolamento sui Dispositivi Medici (MDR). La maggior parte dei prodotti immessi sul mercato europeo non sono tuttavia interessati da queste normative, pur potendo essere fonte di rischi per i cittadini e le aziende. A livello domestico, abbiamo ad esempio le webcam di sorveglianza, i modem per Internet, fino ai dispositivi per il monitoraggio dei bambini. In ambito aziendale, abbiamo ad esempio i tanti componenti PLC che sono utilizzati nei sistemi di controllo. Inoltre, molte norme verticali, primo fra tutti il GDPR, lasciano in carico all’utente finale l’onere di dimostrare il livello di sicurezza dei prodotti e dei servizi che utilizza; non solo questo comporta un enorme spreco di risorse, quando i tanti utenti devono raccogliere le stesse informazioni su un singolo prodotto, ma in molti casi gli utenti non hanno leve per fare richieste ai fornitori che, forti della propria posizione sul mercato, li possono semplicemente ignorare.
Per aiutare ad affrontare questi problemi, e creare un contesto complessivamente più sicuro in Europa, anche in una logica di cyber hygienecyber hygiene, è nelle ultime fasi di approvazione il Cyber Resilience Act. Si tratta di una norma trasversale, ovvero che copre tutti i prodotti con componenti digitali, hardware o software, connessi a reti o altri prodotti (quindi non solo connessi a Internet, ma anche a una rete aziendale, come anche un dispositivo Bluetooth), salvo dove alcune delle norme verticali sopra discusse diano già indicazioni coerenti o più stringenti.
Come buona parte delle norme recenti di fonte europea sulla cybersecurity, è basata su una logica di gestione e mitigazione del rischio, ma l’aspetto più rilevante è che, come per l’MDR, la definizione del contesto di utilizzo, l’analisi dei rischi associati, l’implementazione dei controlli adeguati e la stima dei rischi residui che rimangono in carico all’utente finale, sono in carico a chi immette il prodotto sul mercato europeo, quindi il produttore o l’importatore/distributore. Le garanzie che devono essere date sono principalmente sulla valutazione e gestione dei rischi in fase di progettazione, sviluppo, produzione, distribuzione e manutenzione, di dare visibilità all’utente finale dei rischi gestiti e residui, e di mantenere il prodotto libero da vulnerabilità note per almeno cinque anni o la durata di vita del prodotto, il minore fra i due valori. La conformità al regolamento sarà sostanzialmente necessaria per poter ottenere il marchio CE. Viene poi data una particolare attenzione ai cosiddetti prodotti critici, che, oltre ai prodotti per la sicurezza, comprendono ad esempio determinate classi di prodotti per Industrial IoT.
Dal momento in cui il regolamento sarà approvato, nonostante sia previsto un periodo di 24 mesi dalla pubblicazione prima che il regolamento diventi applicabile, è bene che i produttori inizino quantomeno ad affrontare l’adeguamento nella gestione della supply chain. In fase di stipula o rinnovo di contratti per l’approvvigionamento di componenti digitali (hardware e software) nei propri prodotti, ad esempio, sarà necessario garantire che quanto fornito sia già conforme dall’applicabilità del Regolamento. Intervenire a posteriori sui contratti di fornitura può essere infatti molto difficile.
Claudio Telmon membro del Comitato direttivo CLUSIT
